2018年、欧州連合は、(European Union)一般データ保護規則(General Data Protection Regulation)(GDPR )として知られる一連のデータ保護改革を実施しました。本質的に、GDPRは、すべての異なるデータ保護法を、すべてのEU加盟国(EU state)に適用される単一のルールセットに置き換えました。多くの企業は、GDPRに準拠するようにポリシーを変更する必要がありましたが、(GDPR compliant)移行期間(transition period)にもかかわらず、新しいルールに関しては依然として多くの混乱があります。
では、 GDPR(GDPR)とは何ですか?また、どのようにしてビジネスを準拠(business compliant)させることができますか?
この記事では、乾いたEUデータ保護指令を読まなくても(EU data protection directive)GDPRに準拠(GDPR compliant)する方法を学びます。GDPRとは何かを理解し、サイトをGDPRに準拠(GDPR compliant)させるために必要な手順を説明します。
GDPRとは何ですか?
GDPRは、EU市民のオンラインプライバシー(the online privacy)を保護するために設計された欧州連合の(European Union)データ保護指令です。(data protection directive)これは、個人データの使用方法と、Webサイトがあなたについて収集できるデータの種類を規制します。EUの規制(EU regulation)であるにもかかわらず、GDPRはEUのユーザーがアクセスするすべてのウェブサイトに適用されます。その結果、ウェブサイトや企業はGDPRに準拠するか、EUのトラフィックをブロック(GDPR compliant or block EU traffic)する必要があります。
そのことを念頭に置いて、ビジネスに影響を与える可能性のあるGDPRの重要な側面を次に示します。(GDPR)
- あなたのサイトは、訪問者に個人データが収集されていることを明確に通知する必要があります。
- また、データが収集および保存される方法と理由を開示する必要があります。
- 収集した個人データの削除(delete personal data)をユーザーから求められた場合、ほとんどの場合、その要求に応じる必要があります。
- ユーザーは、保存したすべての個人情報のコピーを要求することもできます。
- あなたのビジネスの主な活動の1つが個人データの収集と保存である場合は、データ保護責任者(data protection officer)を雇う必要があります。
- Webサイトが侵害され、ユーザーの個人情報が漏洩した場合、72時間以内に侵害を報告する必要があります。
- GDPR規制(GDPR regulation)に違反すると、最高2,000万ユーロ(約2,400万ドル)または会社の年間売上高の4%の罰金が科せ(fines of up to €20 million)られる可能性があります。
GDPRの主な目的は、データ侵害(data breaches)から人々とその個人情報を保護することです。ここで問題となるのは、どのタイプのデータがGDPRに該当するかということです。
GDPRによって規制されるデータの種類(Types of Data Regulated by GDPR)
Webサイトを最初から作成した場合でも、WordPressテーマ(WordPress theme)を使用した場合でも、サイトはさまざまな種類のデータを収集します。Webサイトは、分析、 WordPress(WordPress)フォーム、サブスクリプションフォーム、連絡フォーム、電子メールマーケティングキャンペーンなど、さまざまな方法で情報を収集します。
つまり、すべての個人データはGDPR(GDPR)に該当しますが、次のタイプに分類できます。
- 遺伝および健康情報。
- 生体認証データ。
- 政治的および/または宗教的見解。
- 人種、民族、性別。
- IPアドレス(IP address)やCookieデータなどのWebデータ
ビジネスに前述のEU市民のデータのいずれかが保存されている限り、サイトはGDPRに準拠(GDPR compliant)している必要があります。これは、欧州連合の国境内に存在しない場合でも適用されることを忘れないでください。
GDPRに準拠するために必要な手順
あなたがウェブサイトの所有者(website owner)としてのあなたの責任について読むとき、あなたは圧倒されていると感じて、すべての入ってくるEUトラフィック(EU traffic)をブロックする方が簡単だと思うかもしれません。GDPR(Don)に落胆(GDPR discourage)させ(t let) ないでください。以下は、 GDPRに準拠(GDPR compliant)するために必要な主な手順です。
1.プライバシーポリシーを改善する(1. Improve Your Privacy Policy)
データの収集、保存、共有については透明性を確保してください。Webサイトには、データ収集の慣行、データ保護、Cookieの使用、およびデータ共有を明確に説明する詳細なプライバシーポリシーが含まれている必要があります。(privacy policy)優れたプライバシーポリシー(privacy policy)には、少なくとも次の点を含める必要があります。
- ユーザーの個人データを販売することはありません。
- 法律で義務付けられていない限り、個人データを共有する(t share)ことはありません。
- 収集するデータの種類。
- データを収集する理由とその使用方法。
- ユーザーデータを保護する方法。
- プラグインがデータを収集して使用する方法。
解釈の余地を残さない単純な言葉を使用して、可能な限り明確にしてください。そうすれば、明確で透明性のあるプライバシーポリシー(privacy policy)が得られます。
2.Cookieコレクション通知を作成します(2. Create a Cookie Collection Notice)
GDPRによると、Cookieは個人データとしてカウントされるため、Cookieデータを使用する前に、ユーザーに同意を求める必要があります。Webサイトに明示的なCookie収集通知を(cookie collection notice)配置(Place)し、ユーザーが同意しなくても、ユーザーがWebサイトにアクセスできるようにします。また、ユーザーはいつでも同意を取り消す簡単な方法を用意する必要があります。
3.すべてのWebサイトフォームに通知を表示する(3. Display Notices On All Website Forms)
さまざまな種類の送信フォームを介して一部のユーザーデータを収集するのが標準的な方法です。(standard practice)メールアドレスなどの詳細を引き続き収集する場合は、データ収集通知(data collection notice)を投稿してください。その時点より前に、ユーザーの承認なしにデータを収集しないでください。そうしないと、 (Otherwise)GDPRを破ったことで多額の罰金が科せられる可能性があります。
言葉遣いをできるだけ明確にし、データ収集に関する重要な詳細をすべて提供してください。また、事前にチェックされたチェックボックスの使用は避けてください。ユーザーは、データ収集(data collection)がオプションであり、同意が必要であることを理解する必要があります。
4.すべてのプラグインがGDPRに準拠していることを確認します(4. Make Sure All Plugins Are GDPR Compliant)
Google Analyticsなど、データを収集するサードパーティのプラグインを使用している場合は、データを匿名にする必要があります。これを手動で行うのは難しい場合がありますが、このプロセスを処理するGDPR準拠のプラグインを見つけることができます。GDPRコンプライアンス(GDPR compliance)設定を備えたツールを検索するだけです。(Just search)
5.ダブルオプトインを使用します(5. Use the Double Opt-in)
GDPR(GDPR doesn)ではダブルオプトインが義務付けられていませんが、それらを使用することを強くお勧めします。ダブルオプトインとは、データ収集に同意していることをユーザーに確認するように2回要求していることを意味します。これは、メーリングリストのサブスクリプションにとって特に重要です。
ダブルオプトインを追加するには、最初にWebサイトのサブスクリプションフォームから(subscription form)同意を要求(request consent)する必要があります。次に、ユーザーは電子メールで受け取ったリンクをクリックして、もう一度同意する必要があります。
ダブルオプトインを使用すると、データ保護とプライバシー(protection and privacy)に専念していることがわかります。また、サイトがGDPRに準拠していることを当局にさらに証明することもできます。
6.登録解除リンクを追加します(6. Add Unsubscribe Links)
(Include)購読者に送信するすべての通信に、読みやすい購読解除リンクを含めます。メーリングリストからの退会は、簡単なプロセスですぐ(process and instant)にできるはずです。
7.要求に応じて個人データを削除する(7. Delete Personal Data on Request)
GDPRは、ユーザーに忘れられる権利を与えます。これは、データの削除をいつでも要求できることを意味します。常に要求どおりに実行してください。これには、メーリングリストからのユーザーの削除、アカウントの削除、およびユーザーに関する個人情報の消去が含まれます。ブログの投稿やフォーラムのコメントでさえ個人データとしてカウントされるため、要求された場合は削除する必要があります。
8.メーリングリストを購入しないでください(8. Don’t Buy Mailing Lists)
GDPRに違反している可能性があるため、メーリングリストの購入はお勧めしません。ほとんどの場合、これらの電子メールアドレスがユーザーの同意を得て収集されたかどうかを確認することはできません。
それでもメーリングリストを購入することに決めている場合は、送信するすべての電子メールに少なくとも購読解除リンクを含めるようにしてください。
GDPRに準拠することは価値があります
上記のすべての手順に従って、EU市民にウェブサイトとビジネス(website and business)を公開します。GDPRに準拠(GDPR compliant)することは、最初は難しいように聞こえるかもしれませんが、それほど難しくはありません。それは主に、データの収集と同意の要求について透明性を保つことを含みます。ボーナスとして、EU以外のユーザーは、あなたのビジネスがプライバシーとデータ保護(privacy and data protection)に関心を持っていることを認識し、彼らはあなたを信頼する可能性が高くなります。
8 Steps To Be GDPR Compliant With Your Website
In 2018, the European Union implemented a sеries of dаta protection reforms known as the General Data Protection Regulation (GDPR). In essence, GDPR replaсed all the different data protection laws with a ѕingle set of rules that appliеs to every EU state. Many businеsses had to change their policies to be GDPR compliаnt, hоwеver, despite the transition period, there’ѕ still a lot of confusion regarding the new rules.
So what is GDPR and how can you make your business compliant?
In this article, you’ll learn how to be GDPR compliant without having to read the dry EU data protection directive. We’ll help you understand what GDPR is and tell you what steps you need to take to make your site GDPR compliant.
What Is GDPR?
GDPR is a data protection directive in the European Union designed to protect the online privacy of EU citizens. It regulates the way personal data is used and what type of data websites can collect about you. Despite being an EU regulation, GDPR applies to all websites accessed by users from the EU. As a result, websites and businesses have to be GDPR compliant or block EU traffic.
With that in mind, here are the key aspects of GDPR that might affect your business:
- Your site has to clearly inform the visitors that their personal data is being collected.
- You also need to disclose how and why their data is collected and stored.
- If users ask you to delete personal data you collected, you must comply with the request in most cases.
- Users can also request a copy of all the personal information you store.
- If one of your business’s main activities is to gather and store personal data, you need to hire a data protection officer.
- If your website is breached and the personal information of your users leaks out, you have 72 hours to report the breach.
- Breaking the GDPR regulation can lead to fines of up to €20 million (~$24 million) or 4% of your company’s annual turnover.
The main purpose of GDPR is to protect people and their personal information from data breaches. Now the question is, what types of data fall under GDPR?
Types of Data Regulated by GDPR
Whether you built your website from scratch or used a WordPress theme, your site gathers different types of data. Websites collect information in different ways, including through analytics, WordPress forms, subscription forms, contact forms, and email marketing campaigns.
In short, all personal data falls under GDPR, but we can break it down into the following types:
- Genetic and health information.
- Biometric data.
- Political and/or religious views.
- Race, ethnicity, and gender.
- Web data such as your IP address and cookie data
As long as your business stores any of the aforementioned data of EU citizens, your site needs to be GDPR compliant. Remember that this applies even if you don’t have a presence within the European Union’s borders.
Steps Required To be GDPR Compliant
When you read about your responsibilities as a website owner you might feel overwhelmed and decide it’s easier to block all incoming EU traffic. Don’t let GDPR discourage you. Below are the main steps you need to take to be GDPR compliant.
1. Improve Your Privacy Policy
Be transparent with collecting, storing, and sharing data. Your website should contain a detailed privacy policy that clearly explains data collection practices, data protection, the usage of cookies, and data sharing. A good privacy policy should at least include the following points:
- You don’t sell your users’ private data.
- You don’t share private data unless the law obligates you.
- The types of data you collect.
- The reasons why you collect data and how you use it.
- How you protect user data.
- How your plugins collect and use data.
Be as clear as possible by using simple language that doesn’t leave any room for interpretation and you’ll have a clear-cut transparent privacy policy.
2. Create a Cookie Collection Notice
According to the GDPR, cookies count as personal data, so you need to ask your users for consent before using cookie data. Place an explicit cookie collection notice on your website and make sure you allow users access to your website even if they don’t give consent. Your users should also have an easy way of withdrawing their consent at any time.
3. Display Notices On All Website Forms
It’s standard practice to collect some user data through various types of submission forms. If you want to continue collecting email addresses and other details, post a data collection notice. Don’t gather any data before that point and without the user’s acknowledgment. Otherwise, your business could receive a hefty fine for breaking GDPR.
Be as clear as possible with your wording and offer all the important details about collecting data. You should also avoid using pre-checked tick boxes. The user needs to understand that data collection is optional and that it requires their consent.
4. Make Sure All Plugins Are GDPR Compliant
If you’re using third-party plugins that collect data, like Google Analytics, you need to make the data anonymous. This can be challenging to do manually, but you can find GDPR-compliant plugins that handle this process for you. Just search for a tool with GDPR compliance settings.
5. Use the Double Opt-in
GDPR doesn’t make double opt-ins obligatory, but it’s highly recommended to use them. A double opt-in means you’re asking the user twice to acknowledge that they’re giving consent for data collection. This is particularly important for email list subscriptions.
To add a double opt-in, you need to first request consent through the website’s subscription form. Then the user should consent a second time by clicking a link they receive through email.
Using the double opt-in shows that you’re dedicated to data protection and privacy, and it also gives the authorities further proof that your site is GDPR-compliant.
6. Add Unsubscribe Links
Include easy-to-read unsubscribe links with every communication you send to your subscribers. Unsubscribing from your mailing list should be an easy process and instant.
7. Delete Personal Data on Request
GDPR gives users the right to be forgotten. This means they can request at all times for their data to be deleted. Always do as requested. This includes removing your users from mailing lists, deleting their accounts, and wiping any personal information you have about them. Even blog posts and forum comments count as personal data and should be removed if requested.
8. Don’t Buy Mailing Lists
Buying mailing lists isn’t recommended because you might be in violation of GDPR. In most cases, you can’t be sure whether those email addresses were collected with the users’ consent.
That said if you’re still determined to buy a mailing list, make sure you at least include unsubscribe links with every email you send.
Being GDPR Compliant Is Worth It
Open your website and business to EU citizens by following all the steps above. Being GDPR compliant might sound challenging at first, but it’s not that hard. It mostly involves being transparent about collecting data and asking for consent. As a bonus, non-EU users will see that your business cares about privacy and data protection and they’ll be more likely to trust you.
